GRC Solution SAP首席咨询顾问鲁百.ppt

全面企业绩效管理与企业风险管理,鲁百年 博士、教授 中国区首席顾问SAP BusinessObjects,鲁百年:应用数学博士、教授。有特殊贡献的专家，享受政府津贴，2006、2007年中国培训十佳、2008年首届黄炎培职教管理专家奖。北京大学、清华大学MBA咨询顾问、国家行政学院特聘讲师、中金会特聘顾问。现任SAP Business Objects公司中国区首席顾问。,曾在美国SAS软件研究所任北方区销售总监、高级咨询顾问、创智科技股份有限公司CRM事业部任副总裁、美国Hyperion公司高级销售经理、北京甲骨文软件有限公司高级咨询顾问经理、美国BO公司中国区咨询顾问总监。在英国剑桥大学和Sussex大学学习两年。在国内外发表学术论文90余篇，主持过两项国家自然科学基金资助的项目和一项回国人员基金，成果获省、部级科技进步一等奖、二等奖。出版如何做好大客户的战略营销、全面企业绩效管理、获得大订单的三部曲和客户也疯狂光盘四套、专著全面企业绩效管理、大客户战略营销、客户也疯狂和说服老板签大单四本。,全面企业绩效管理与风险管理GRC解决方案的风险管理GRC解决方案的过程控制GRC解决方案的访问控制GRC 如何全面应对企业内控的需求GRC实施案例分享,目录,风险调节下的绩效管理,数据仓库,CRM智能,人力资源财务智能,SCM智能,GRC,E-Business 电子商务技术平台,经营分析,绩效优化,投资组合,知识管理,产品定价,核心业务系统,门户网站,全面企业绩效优化的实现,投入产出,决策支持系统DSS/BI/KDD,业务流程控制,业务操作信息化,MES,CAD,生产自动化,生产过程监控,IT风险,企业风险类别,企业风险监控,当前的主题已不止是审计-而是整个GRC体系(治理、风险和合规管理),Compliance,董事会财务部法律部销售部合同部人力资源部内控部信息部政策管理审计和合规管理资金部,Compliance,合规管理,合规管理,合规管理,风险管理,公司治理,风险管理,风险管理,公司治理,风险管理,Risk Mgmt.,风险管理,公司治理,SOX,JSOX,信用风险,操作风险,市场风险,FDA,退保风险,项目风险,合规管理,风险管理,公司治理,在这个日趋复杂的世界中,“公司治理、风险管理和合规管理”越来越困难，传统的GRC是一种支离破碎的方法，正如图中的场景,Compliance,董事会财务部法律部销售部合同部人力资源部内控部信息部政策管理审计和合规管理资金部,Compliance,合规管理,合规管理,美国.德国日本英国.法国中国加拿大印度,合规管理,风险管理,公司治理,风险管理,风险管理,公司治理,风险管理,Risk Mgmt.,风险管理,公司治理,SOX,JSOX,信用风险,人力资本风险,收入确认,FDA,项目风险,合规管理,风险管理,公司治理,集成GRC模式,前瞻型的企业现在正在采用一种集成统一的模式来管理GRC，如下图所示：,集成模式统一管理GRC方式,供应链,客户和渠道,SAP GRC提供全面的合规，风险，内控体系,标准化组件全面的内控风险合规管理自动化流程涵盖每部分流程,业务流程,Others,SAP GRC 解决方案,提供具有透明度的信息来预防风险标准化的通用GRC内容和规则将GRC流程自动化到业务流程监控中与现有IT投资及技术合作伙伴产品集成整合与服务提供商便捷的协同合作,监控战略,定义活动,设置标准和KPI,将企业的战略优势和有效执行联系起来,建立目标,制定战略目录,战略计划过程,风险管理的过程,研究风险智能战略,我们的战略目标是什么?那些存在的风险会影响企业的战略的执行?,研究战略执行的计划,什么样的活动可以提高战略的执行，并且降低风险?那些关键绩效指标和风险目录应该被监控?,分析绩效和行动校正,我们做预测吗？从预测中发现那些重要的偏差?这些不一致的主要原因是什么?,全面企业绩效管理与风险管理GRC解决方案的风险管理GRC解决方案的过程控制GRC解决方案的访问控制GRC 如何全面应对企业内控的需求GRC实施案例分享,目录,SAP GRC风险管理的目标和实现方法,目标：根据风险来调整对企业绩效的管理,方法：自动处理流程闭环,风险规划:建立风险目录和关键风险指标风险识别:收集和整合企业范围内的风险，了解KRI的主要影响因素风险应对：平衡风险和机会风险监控：基于角色的仪表盘、预警和应对活动,计划,识别与分析,响应,监控,SAP GRC风险管理企业绩效管理的风险调节管理,定义主要风险、阀值和特征,识别和评估企业所有相关的风险,对最大风险出现的应对策略,基于角色的实用仪表板与告警功能,对于业务过程实行积极的监控,保护现有的价值流程化跨企业风险管理预防事故和损失产生新的价值提高战略的实现通过预测和计划，调节企业的风险，改进企业的绩效增加企业透明度在合适的风险度下，确保业务部门的顺利运营紧密将业务过程、风险和监控连接起来，改善公司的治理,SAP风险管理功能,风险监控,风险响应,风险识别,风险分析,建立风险组织定义风险阀值将战略目标落实到具体的组织定义风险组织的角色以及责任定义风险相关的活动，与部门流程相结合定义风险的分级定义关键风险、目录和阀值定义风险报告的结构,定义风险结构定义风险的触发点以及其影响将关键风险指标与关键绩效指标连接起来定义风险之间的联系,回顾历史损失利用定量和定性的方法分析风险了解基于风险危害的影响级别建立风险情景并考虑风险披露情况支持进行蒙特卡罗法的模拟评估基于有效反馈响应的损失评估打包合并相似的风险影响,建立预防风险以及快速恢复的机制以及文档手册关注并分配风险发生后的流程明确风险的责任人以及响应的活动处理事先和事后风险应对分析跟踪风险应对成本,监控关键风险指标监控风险应对的有效性和完整性风险暴露报告监控风险应对活动相关的工作流程,风险计划,风险管理的步骤自动过程处理的闭环,基于角色的仪表盘和预警、和应对活动,建立风险的目录和关键风险指标、以及阀值,收集和整合跨企业的风险信息、了解关键风险指标的主要影响因子,平衡风险机会和规避过程应对策略的成本,产生新的价值从战略到风险集成的价值链,绩效改进 为了实现可视化和公司治理的目标，改进绩效的跟踪、协同和报告。,战略目标的落实 了解企业的战略目标 并且确保用户访问绩效，利用数据和信息进行活动和项目的决策,将风险目标和战略目标相结合,目标设定情景分析方法,风险防范一致性 在方法论、风险偏好、阀值保持一致,建立风险和活动的目录,什么类型的风险我们需要跟踪?基于活动类型的风险建议将风险和企业的战略目标紧密连接起来可以客户化、事先预置了的风险指标定义,风险目录,KRI 2成功的交易,理赔客户的 经历,业务部门风险阀值的文档记录,99,99%,95%,KRI 1理赔准时率,定义KRI目标和阀值,全面风险管理识别和评估跨企业的所有关键风险,对于手工风险活动的协同评估,定性和定量的事件和情景分析在应对之前和之后的分析不断优化工作流,利用风险“体温计”了解风险危害的优先级别,应对需要投资的优先级识别迁移风险的特征,自动风险识别,SAP CRM,将风险点嵌入到关键业务流程工作流确保了专家级风险评估的实现,风险管理的工作流,Automating business processes,利用SAP的业务流程风险识别确认评估结果重新评估过程再研究风险评估风险预警,角色之间互动的工作流程:风险识别的例子,部门经理(确认者),项目经理(评估负责人),项目成员(报告的生成者),风险发送，等待审批,发送等待审批,发送并且等待审批,输入项目的部门活动,1,批准或者拒绝,批准或者拒绝风险,诊断和输入项目的风险,绩效风险评估,选择应对的负责人,批准或者拒绝,4,2,3,查看当前风险的状态,1,2,4,3,风险管理事件损失记录结果后验概率和影响估计详细的因果关系分析度量风险响应有效性,风险管理事件损失要素,过程,人,数据结构,记录和事件分类,客户化和开始,确认和跟踪,事件和损失报告,工作流协同,降低跨多个过程和风险目录的风险,智能风险应对做进一步的风险智能决策,错误的匹配了投保人和理赔人员工的健康和安全运营风险产品的消失供应商的失去没有满足C SOX合规没有满足证监会的要求,主要的行业风险,企业级风险管理模型:风险应对,输入优先级列表概率表潜在应对策略和活动列表,输出目标概率目标影响风险活动计划,负责人风险残余风险合同,能力概率和影响规模分析工具和技术风险数据收集,控制资源:成本,时间和人力组织标准角色和责任损失阀值保险政策，现金准备,风险评估:风险应对,对于每一个风险，可以设计一个或者多个风险应对策略 每个应对策略的数据需要输入：应对策略(接受,观察,分析,转换,委派,降低,见下一页)应对成本在后续分析时使用概率的百分比改变应对策略可以降低风险的概率 例如：”降低5%”整体损失改变那个策略可以改变整体风险损失.例如:“降低$200,000”影响改变如果没有从整体损失改变驱动出发，那么应对策略可以改变整体的影响到什么地步 例如:“降低1个级别”,确认 批准风险和风险应对策略,“风险确认”是一个观察、批准整个识别风险、分析风险和风险应对计划的一个过程确认处理发生在风险管理过程中确认的职责不能被授权风险确认者可以:批准评估拒绝单个风险(利用活动评论栏提供原因;注意拒绝的风险不可能被从新激活),确认:批准风险应对策略,确认:批准风险应对策略,保持信息在已有的业务流程中建立主动监控,捕获事故和损失,基于相关的风险，设定控制阀值,从以前的经验中学习将经验集成风险管理手册,高管层风险管理仪表盘,合规的检查列表可能导致过低或者过高控制。建立基于每个业务过程的风险级别和相应风险的风险控制,企业风险管理模型:风险监控,输入目标概率/影响风险活动计划风险责任人,输出对用活动应对活动计划修改应对计划新的识别风险结束风险风险报告,能力风险考察状态分析审计,控制资源:成本,时间和人力组织标准角色和责任,风险管理报告选择,强调个体化报告,可视化仪表盘*,PDF 报告,业务经理,风险经理,在线报告,基于BW报告,灵活性,集成的,风险经理仪表盘,SAP BO访问控制安全 SoD和合规 IDM/规定g,SAP BO 过程控制 业务过程控制,由于冲突性的职责，员工是否有过度的授权?在你的用户的角色中，你控制新的用户的权限了吗?,任何关键的索赔，我们做到风险监控了吗?由于在索赔过程中不正确的授权，有欺诈行为吗?给受保人超付款了吗?,完整的、整合的内控系统帮助企业实现如下业务问题:1)匹配日益增加的合规要求关键是内控系统具有可审计的证据2)防范经济犯罪和错误,避免财务的损失和企业声誉的破坏3)通过高度的透明性，提高 过程的有效性,SAP BusinessObjects内控的风险驱动方法,Zurich 北美,财富 500 强公司的保险公司解决方案外部的风险信息用户:3,000风险管理员访问和分析关于索赔趋势信息分析索赔的原因业务利益:Zurich和客户共享的信息，降低索赔率减少了纸张和邮寄的大量费用改善了运营的效率随时可以获得信息,Zurich 北美(美国、加拿大),业务:20亿收入保险公司为财富500强企业提供财险、意外险应用:风险智能系统财富500强企业“风险管理”，获得在线申报信息,700风险管理员,申报数据库,价值确保客户辨认在保险申报中的风险、风险管理问题的实时反馈和跟踪减少申报的数量、通过网上申办和处理降低保险成本；对Zurich和它的客户降低风险客户支持的成本在第一年减少了50万美圆。3年的ROI=249%（仅基于成本降低）风险智能系统是一个新的收入源：例如：10个用户每年支付$5,000美圆+(9 x$200/年)+每个特殊需求$250美圆,SAP 2008/Page 42,SAP BusinessObjects 风险管理,SAP 2008/Page 42,全面企业绩效管理与风险管理GRC解决方案的风险管理GRC解决方案的过程控制GRC解决方案的访问控制GRC 如何全面应对企业内控的需求GRC实施案例分享,目录,GRC流程控制通过工作流简化合规活动,测试人员,合规小组,公司管理层,发送合规相关的纸质调查表,通过电子邮件接收测试说明,根据口头说明执行人工测试,合并多种来源的结果,?,文档或电子数据表保存在本地文件服务器上,制定检测计划,流程正确吗？,?,采用信息化工具前的SOX/内控工作,SAP GRC流程控制融合法规遵从流程管理与持续控制监控,执行自我评估,检测自动控制,检测人工控制,文档,检测,监控,证明,证明并签交(302,设计,),流程-控制-目标-风险,IT基础设施,业务流程,检查异常,纠正问题,端到端企业控制管理的单个解决方案为自动和手动控制提供集中控制管理财务控制运作控制IT 控制根据异常进行管理确定纠正活动的优先级为管理人员提供对控制环境的洞察力,中央记录系统支持监管，提高透明度,管理条例与内部法规遵从策略相结合证明遵从法规GRC共生系组成集中的内容知识库2实现多种框架的合理化控制,绩效指标与基准,监管与行业条例,风险与控制库,企业策略与制度,文档与委员会记录,GRC信息库,最佳实践,控制框架(COBIT,JSOX,),顾问服务(审计,律师),内部策略,政府机构,影响顾问团,重要账户,纠正问题,控制检测(人工/自动),控制,风险/控制目标,业务细分,地区,部门/法人实体,业务运营,地点/运营单位,组织分层结构(n-层),账户分层结构,流程/风险/控制分层结构,声明,声明,签交流程,结构定义,控制框架与组织管理,评估,法规遵从分类,流程,子流程,账户分组,一个系统支持端对端企业控制管理采用基于风险的方法部署控制 自动监控多种企业应用控制检查全球风险及优先采取的纠正措施,执行自我评估,检测自动控制,检测人工控制,文档,检测,监控,证明,证明并签交(302,设计,),流程-控制-目标-风险,IT基础设施,流程,检查异常,纠正问题,SAP GRC控制流程融合法规遵从流程管理与持续控制监控,控制举例：,提升公司形象、股东价值、持续发展,“合规不仅仅是按照法规要求行事，而且要能够通过遵守法规来进一步实现企业的目标。”（Christof Menzies，普华永道公司风险与一致性实践管理助理，2005）“通过拓宽管理范围，我们可以真正向股东和利益相关者保证企业拥有竞争力，能够提高市场份额，为投资者带来回报，并避免出现其它合规方面的问题。”（Leif Johansson，沃尔沃集团总裁兼首席执行官）“企业治理、风险和合规应该被看成是一个整体的概念。当在企业内全面推行这些概念时，它们能够为企业带来很大的价值，提高企业的竞争优势。”（Samuel Di Piazza Jr.，普华永道公司首席执行官）,自动化控制改进控制效果,一个企业控制管理系统必须检测自动化控制与手工控制,关键业务流程自动控制的三种监控方法,构建特定检测,重用 定制检测,选择 预建检测,预建流程控制检测配有灵活的规则标准SOD分析与报告,即插即用现有检测脚本,采用定制查询构造器快速创建控制检测,订货至收款,订单获取,订单供货,计费与退货,采购至付款,需求计划,运营采购,对账上报,预算计划,分类账交易,财务清算,IT基础,应用安全,变更控制,收入确认,库存管理,应付管理,合并上报,订货到收款自动控制监控样例,客户订单是否超过允许极限?,发货是否无销售单据?,价格或兑换率是否调整?,收入账户和过账允差是否改变?,一个系统支持端对端企业控制管理采用基于风险的方法部署控制 自动监控多种企业应用的控制检查全局风险并按优先的方式采取纠正措施,执行自我评估,检测自动控制,检测人工控制,文档,检测,监控,证明,证明并签交(302,设计,),流程-控制-目标-风险,IT基础设施,流程,检查异常,纠正问题,SAP GRC控制流程融合法规遵从流程管理与持续控制监控,收益-从自动化控制中大量减少重复工作量，从而消减成本,为什么存档和检测一个日常人工控制要进行30到50次，而采用自动控制，在完善的安全控制和程序变更控制支持下可能只需要检测几次?信息来源:IT Governance InstituteIT Control Objectives for Sarbanes-Oxley,流程优化人工控制活动自动通知和指导程序保证期限和可靠性,控制检测员,!,?,Send out paper-based documentation surveys for completion,Save documents and spreadsheets to local file servers,Create test plan,Receive test instructions via email,Perform manual tests based on verbal instructions,Consolidate results from multiple 信息来源s,法规遵从小组,?,?,管理与高级管理人员,部署灵活的评估,灵活地创建调查、安排时间和路线对流程设计、控制设计、实体层次等进行评估参考信息和说明指导非经常性用户,执行自我评估 灵活的调查问卷,自我评估：通过灵活的调查问卷，系统支持设计评估与自我评估评估范围包括流程设计、控制设计、公司层面等等通过预定工作流及邮件通知提高效率对临时承担评估任务的人员提供参考信息及指引,SAP GRC控制流程融合法规遵从流程管理与持续控制监控,一个系统支持端对端企业控制管理自动监控多种企业应用的控制检查全球风险及优先采取的纠正措施实时模拟控制配置识别并预防风险,执行自我评估,检测自动控制,检测人工控制,文档,检测,监控,证明,证明并签交(302,设计,),流程-控制-目标-风险,IT基础设施,业务流程,检查异常,纠正问题,法规遵从分析提供可行性情报,基于角色的仪表板可用于洞察控制状态企业实现多实例和多平台环境透明全球热图提供所有控制检测及评估发现的异常情况,利用纠正案例管理加快解决问题速度,执行自我评估,部署自动控制,检测人工控制,IT基础设施,业务流程,重要资源自动优先分配给影响严重的异常情况自动路由分配和通知保证不会遗漏任何情况 解决活动经过线索讨论为外部审计机构提供证据,SAP GRC控制流程融合法规遵从流程管理与持续控制监控,一个系统支持端对端企业控制管理采用基于风险的方法部署控制 自动监控多种企业应用的控制检查全球风险及优先采取的纠正措施,执行自我评估,检测自动控制,检测人工控制,文档,检测,监控,证明,证明并签交(302,设计,),流程-控制-目标-风险,IT基础设施,业务流程,检查异常,纠正问题,通过规范化证明自信地进行签交,AR计费,订货至收款,US财务,US,企业签字人,CEO/CFO,1,2,3,4,5,6,每个子流程责任人签交,流程责任人签交,最下一级岗位签交,上一级岗位签交,企业签字人签交,CEO/CFO签交,AR收款,支持302条款证明冻结已签交的关键信息以分层方式自下而上接转,收益 利用信息化系统固化合规工作流程,假定1 假定当前环境下 0.5 FTE专门从事违规和异常跟踪工作2 成本需进一步分解；3个FTE参与建立控制，5-8个FTE从事控制测试,全面企业绩效管理与风险管理GRC解决方案的风险管理GRC解决方案的过程控制GRC解决方案的访问控制GRC 如何全面应对企业内控的需求GRC实施案例分享,目录,GRC访问控制,Compliance Calibrator支持访问与授权控制的风险定义、分析、整改、弥补、模拟及预防,Role Expert 角色定义与管理解决方案,Fire Fighter超级用户访问控制解决方案,Access Enforcer端到端的用户权限解决方案,持久阶段(保持),突击阶段(清理),角色管理,超级用户访问控制,日常预防性管理,风险识别与整改,SAP GRC访问控制套件主要包括四个产品，它们共同实现自动化GRC流程并嵌入业务流程中，以提供“持续的SOD(Segregation of Duties,职责分离)防范”。,1,2,3,4,职责分离管理注重于SOD分析及预防,在任何组织中，一个关键的内部控制是SOD，目的是以手动的方式实现SAP系统中所有不同交易访问控制，CC能自动实现这个一功能。,显著地降低合规成本通过跨企业的预防性控制手段降低风险 通过自动化减少了合规所需要的时间 通过广泛的预设规则可以直接使用,减少了36%的授权风险管理的成本 客户调查,5/2005,GRC访问控制,超级用户管理兼顾紧急情况下的快速支持与超级用户监控”问题,合规的超级用户访问,New Session,New Session,New Session,New Session,SAP_ALL,预分配的Firefight ID访问限制有效日期查找审计日志中字段修改,Firecall ID SD,Firecall ID MM,Firecall ID FICO,Firecall ID,超级用户,解决最大的审计问题避免业务顾虑快速应急反应避免业务中断缩短审计时间缩短执行关键任务的时间,“超级用户和审计师都愿意使用”Web Seminar Lincoln Electric,3/2006,跨公司、跨平台环境的用户角色管理专家,集中的流程角色管理,跨应用平台,大型企业集团的流程往往跨越多个应用平台，流程管理中的职责分离监控，要求有一个企业级集中的跨平台的角色管理平台，这就是SAP GRC中的角色专家功能,审计日志,SAP GRC角色专家,企业规定,角色,减少了成本-角色维护成本方便了合规管理，并避免授权风险 消除错误和强化最佳业务实践确保完备的审计线索和安全检查,在流程角色管理中，节省了28%的时间 客户调查,3/2006,角色,角色,角色,角色,角色,角色,角色,角色,角色,合规的企业角色定义,工作流支持”端对端”的用户权限控制,工作流支持的用户帐号管理流程,产生需求,自动化执行,经理批准,风险分析,工作流路径基于需求类型和用户属性,升级工作流,异常工作流,100%自动化,HR 事件,员工雇佣/离职,通过邮件,选择预防性模拟,100%自动化,将跨企业的用户帐号管理及控制嵌入到业务流程降低用户管理的成本提高终端用户工作效率减少审计师审计工作量,“减少合规操作时间从原来的两周到现在的两天”Web Seminar Rockwell Collins,3/2005,全面企业绩效管理与风险管理GRC解决方案的风险管理GRC解决方案的过程控制GRC解决方案的访问控制GRC 如何全面应对企业内控的需求GRC实施案例分享,目录,SAP BusinessObjects GRC系统功能特点,风险架构（组织、风险及活动建模）风险损失库风险调查与自评估工作流支持风险活动路径指导风险应对/控制有效性关键风险指标预置与监控风险汇总报告机会管理,风险与流程建模-1风险信息收集/风险损失数据-2风险检查和整改风险评估 3,4,5,6风险指标监控与预警-7风险管理量化分析 8,9,企业风险管理系统需求框架(六项)：,注：“风险检查与整改”需求对应与SAP GRC解决方案中的“流程控制”套件,1.风险架构-SAP GRC预制了大量保险行业的风险模板,组织层次(BlueSky Insurance)活动层次风险等级特定国家组织特定风险计划,1.风险架构(续),2.风险损失库 风险损失事件记录,2.风险损失库(续)风险损失事件数据库,3.风险调查和自评估,4.工作流支持,5.风险活动路径指导,6.风险应对/控制有效性,用户面临的挑战：我怎样才找到真正的风险问题所在，无论是合规相关风险，还是非合规的其它风险？这些为降低风险而产生的投资和项目，其投资回报如何？关键用户需求：将整改和预防的风险应对措施(控制)文档化 能追溯到风险应对措施(控制)的实施效果，并计算残余风险值 系统能产生告警，将那些降低不充分的风险凸显出来收益：通过准确反映根据风险应对措施(控制)效果来调整的风险问题，优化资金分配,6.风险应对/控制有效性(续)利用流程控制来减轻风险,1.查看风险应对活动库，包括流程控制中的控制点,2.选择相应的流程控制点，并分配至对应的风险，以降低风险,3.结果，流程控制保证了控制的有效性,6.风险应对/控制有效性(续)利用真正的风险问题做决策，并让相关人员均能了解,1.输入风险应对成本以进行投资回报分析,2.设置期望降低的风险水平目标,3.分析风险应对的效果,7.关键风险指标(KRI)预置与监控,关键用户需求：将关键风险指标(KRI)分配到业务营运系统中来监控那些风险驱动 能够将关键风险指标分配到单个的风险驱动上 业务规则能包含复杂的风险侦测规则 能灵活地定义行动：告警、风险评估、改变风险暴露因素收益：通过自动化地监控关键风险指标、警告风险责任人从而采取应对活动，来风险事件和损失,用户面临的挑战：许多风险变化太快，当我们发现风险真正变成损失事件时，已经太迟了,7.关键风险指标(KRI)预置与监控(续)为您的公司创建一个定制化的KRI类,1.查找公司特定的风险分类,2.根据风险类(目录)显示关键风险指标,3.详细风险指标信息,7.关键风险指标(KRI)预置与监控(续)为风险阀值分配相应的业务规则,1.分配风险指标到风险,2.历史记录可用来进行统计分析,3.为汇总风险指标定义业务规则,4.为风险指标阀值选择行动,7.关键风险指标(KRI)预置与监控(续)KRI内容,1.浏览全部SAP业务组件,2.在SAP数据模型中发现正确的数据点,3.在风险管理系统中激活一项SAP信息集,7.关键风险指标(KRI)预置与监控(续),针对企业，GRC风险管理中的风险指标(KRI)可以得到更多系统数据支持：SAP ERP系统 GRC 流程控制 GRC 访问控制 非SAP系统,7.关键风险指标(KRI)预置与监控(续),SAP以及一些合作伙伴的系统中已经内置了一些KRI的例子 这些内容包会根据合作伙伴以及客户的反馈和建议不断增加,8.风险汇总 基于组织结构的量化分析,9.报告,9.报告(续),9.报告(续),10.机会管理,客户面临的挑战“我可以分析风险负面作用对我的影响，但是我无法辨别一些风险机遇并存时可能会带给我的受益。”客户的关键需求主动对产品，项目，流程综合评估风险和收益收益明确并能够帮助管理层快速做出对资本及非资本的分配决定帮助公司对风险以及收益的量化并得到更高的回报,10.机会管理(续)分析机会,识别并记录机会分析预期收益和酬劳权衡风险以及机会,全面企业绩效管理与风险管理GRC解决方案的风险管理GRC解决方案的过程控制GRC解决方案的访问控制GRC 如何全面应对企业内控的需求GRC实施案例分享,目录,GRC风险管理实施模式,模式二：全面风险管理项目后的工具实施,模式一：快速启动(Quick Start),工作内容：软件安装+上载已有的风险管理文档+实施一个选定的工作流+维护4-5系统角色+培训（知识转移),方案思路：利用当前已有的风险管理文档（可能不够完善）快速启动项目，系统实施后，围绕系统应用情况开展全面的风险管理项目,项目周期：3-4个工作周（2-3个全职顾问）,方案要点：快速启动，且围绕系统来开展风险管理活动；缺点：初期的全面风险框架不够完善，实施到系统中的架构需要不断更新,工作内容：软件安装+全面风险管理框架配置+实施全部工作流+培训（知识转移),方案思路：在前期完善的全面风险管理框架建设完毕后，一次性实施到系统中，保证落实,项目周期：5-6个工作周（3个全职顾问）,方案优点：系统实施后不需要作较大调整；缺点：前期设计可能较少考虑系统功能应用，项目周期较长,GRC风险管理实施案例1,客户背景：客户是德国西部的一家医学院，希望利用SAP GRC风险管理软件集中化管理其医药研发、相关医院机构的风险管理。作为GRC实施领域的SAP全球合作伙伴，甫瀚被邀请加入客户的项目团队，协助其完成GRC风险管理系统实施工作。工作内容：甫瀚为客户在以下领域中完成了GRC风险管理系统实施咨询服务：在已有的NetWeaver平台上安装GRC RM 3.0软件；按照系统要求整理并上载客户已有的风险管理文档；维护一个选定的部门(医药研发部门)风险管理工作流；维护该部门四个系统角色（系统管理员、风险经理、关键用户、业务部门责任人)；提供2天培训；共两名顾问现场工作3周；在前期工作的基础上，计划后期的全面风险管理咨询项目；,工作效果：将过去完全手工的风险管理工作通过统一的工具和方法实现；在选定的试点领域，在组织内充分提高了风险管理的意识；为下一步全面的风险管理项目培养了项目团队。,GRC风险管理实施案例2,客户背景：客户是美国的一家化工企业，希望利用SAP GRC风险管理软件集中化落实其企业范围内的全面风险管理框架（拥有众多下属公司、机构）。作为SAP公司推荐的GRC实施领域合作伙伴，甫瀚被邀请加入客户的项目团队，协助其完成全面风险管理咨询和GRC风险管理系统实施工作。工作内容：甫瀚为客户在以下领域中完成了风险管理系统实施咨询服务：实施“企业风险管理(ERM)”咨询项目；交付企业风险管理手册；根据企业风险管理手册所定义的风险管理框架准备SAP GRC风险管理系统所需文档；安装GRC风险管理系统；完成主要风险管理领域工作流支持(六部分)；第一期：企业风险管理咨询约3个月，4-5名顾问；第二期：软件系统实施1个月，3名顾问；,GRC流程控制、访问控制实施的前提要素,GRC 访问控制,GRC 流程控制,SAP GRC系统的实施依赖于以下基本的控制框架要素：,SAP 安全架构:用户管理、角色维护及SOD管理流程支持上述策略的程序文件命名规范关键交易监控控制SAP安全设计:SAP实施时考虑内部控制需求存在明确的SAP安全设计、测试及实施方法论,控制基线设置:在业务流程中定义SAP相关控制(如SOX中的IT应用控制)利用行业标杆及最佳实践设计控制在控制框架中采用自动化控制定义SAP相关测试的测试计划,SAP的GRC解决方案,风险管理,GRC 知识库,业务应用及IT基础设施,合规与控制,治理,企业可持续性管理,行业,ESOA平台,风险管理,GRC流程控制以及访问控制实施模式,软件安装：下载软件，设计技术架构并配置系统可由客户自实施，或咨询方实施(1周)系统实施：模式一：GRC访问控制快速启动模式(Quick Start)。通常由1-2名顾问在较短时间内帮助客户“快速启动”GRC访问控制实施项目，主要内容包括架构设计、安装检查、规则库定制指导、初步分析等。Compliance Calibrator&Firefighter(2周)Access Enforcer&Role Expert(3周)模式二：GRC访问控制全实施模式(Full Implementation)。通常由2名顾问帮助客户全面实施GRC访问控制套件、完成问题整改并保证实施后日常运维正常。按照一个地点估计：Compliance Calibrator&Fire Fighter(8-10周)Role Expert&Access Enforcer(11-13周)模式三：GRC 流程控制实施。通常在流程控制实施前会先引入一个2-3周(2名顾问)的”就绪评估“，确保GRC流程控制实施所必需的准备工作就绪。Process Controls(约3月)问题整改：根据客户内部资源(人员经验,成本考虑)可选择。根据初步评估结果协助客户解决问题，包括行动计划优先级排序，流程重设计，SAP角色重设计，补偿性措施识别及问题整改等。,GRC流程控制实施案例,客户背景：客户是韩国一家半导体生产商，是全球众多著名品牌半导体公司的代工商。Protiviti在客户启动SAP项目(包括FICO,MM,SD,CRM,SRM&PP模块)同时进入，除承担整个项目的独立项目风险管理外，还协助客户完成SAP安全架构设计及实施，SAP应用控制设计及实施，GRC访问控制实施、GRC流程控制实施等。共15名顾问涉入，6个月时间。工作内容：甫瀚为客户在以下领域中完成了GRC流程控制实施咨询服务：梳理SOX项目文档，包括业务流程、RCM、测试底稿等；安装GRC流程控制软件；设计GRC流程控制系统中的SOX项目文档管理、项目管理框架及内控工作流；定义SAP系统中的自动化控制，并配置自动测试脚本；实施SOX及内控工作流；实施步骤：,控制识别,知识转移培训,初始化流程控制评估,执行测试和结果验证,建立测试监控流程,软件安装后确认,1天,2天,12天,14天,12天,14天,GRC访问控制实施案例,客户背景：客户A是中国大陆一家全球领先的专业从事太阳能电池、组件和光伏发电系统的研发、制造与销售的国际化高科技企业，在美国上市，要求符合SOX 404条例的规定。为加快满足合规性，实施SAP GRC解决方案。,Thank you!,